Umstellung von Heimnetzwerk auf pfsense (Anfänger, OpenVPN, VoIP, Entertain)
-
Zur VPN kann ich nichts sagen, aber zu Entertain und VoIP, s.u..
Bzgl. VPN nur ein Punkt, falls Du auf eine Lösung mit einer FB gehen möchtest: Die Fritzboxen scheinen bei VPN-Betrieb CPU-mäßig nicht ausreichend dimensioniert zu sein, so daß es dann zu Abbrüchen beim Telefonieren kommen kann. Dazu habe ich eine sehr ausführliche und gut fundierte Rezension auf amazon gelesen, weiß aber nicht, wie aktuell das noch ist. Das würde ich aber vorher prüfen / recherchieren.
Entertain geht mit pfSense. Wenn Du HW einkaufen gehst, solltest Du auf folgendes achten: Switches sollten IGMP-fähig sein. Eine VLAN-Fähigkeit schadet auch nicht. (Das hat aber mit den erwähnten VLANs bzgl. Entertain nichts zu tun.)
Powerline kann mit Multicast-Traffic des Entertain wohl zickig sein. Hier habe ich aber selbst keine Erfahrung, nur etwas Respekt aufgrund etlicher Foreneinträge, über die ich mal gestolpert bin. Kommt auf einen Versuch an. Evtl. hast Du das aber ja schon mit Entertain über eine Powerline-Srtrecke am Laufen?
Telefonie: Mit einer Uralt FB kannst Du VoIP machen. Ich selbst habe dazu eine FB Fon 5050 von ebay geholt, hat ca 5 Euro gekostet. Da hast Du mehrere Anschlüsse für "alte" Telefone, das Teil macht in meine Netz nichts anderes. Bei Neuanschaffung ist dann ein IP-Telefon sinnvoll, da kannst Du auch von deutlich besserer Sprachqualität profitieren.
-flo-
-
Wenn Du HW einkaufen gehst, solltest Du auf folgendes achten: Switches sollten IGMP-fähig sein. Eine VLAN-Fähigkeit schadet auch nicht.
Wenn es besser sein soll, dann schau Dir die SG300er Serie von Cisco an.
Wenn Du preisbewusst kaufst, dann evtl. TL-SG3210 oder TL-SG3216 oder 3424 von TP-Link.
Netgear würde ich persönlich komplett vergessen, speziell dann, wenn Du Dich um andere Dinge als Problemlösungen vom Netgedöns kümmern willst. -
@please
Im Endeffekt will ich über die Firewall dann ja das "verbiegen der Clients" unnötig machen. Ob man hier nun explizit störende Sachen blockiert oder alles was nicht über das VPN geht ist in meinen Augen Geschmackssache.
Das schon, allerdings wirst du in der Praxis sehr wahrscheinlich nicht um das Verbiegen herumkommen. Denn wenn du eine andere VPN IP haben willst, musst du ja am Client eingreifen oder aufstehen und zum Schweizer Computer wechseln und danach wieder zum US Rechner. Wenn ich jetzt mal sowas wie Steam einwerfe, bei dem es durchaus drauf ankommen kann, in welchem Land man eingewählt ist ob man diverse Software angezeigt bekommt und kaufen kann, wäre mir das einfach zu viel herumgeknote jedes Mal Software beenden; Netzwerk auf, andere IP rein, Netzwerk zu, IP prüfen, OK ist jetzt US->CH, Software starten, kaufen, runterladen, und alles wieder CH->US zurückdrehen damit man weitermachen kann mit dem, was man vorher vorhatte. Mehr Komfort bringt das aus meiner Sicht nicht.
Persönliche Meinungen und Ansichten sind dafür da, dass jeder eine haben kann ;) Grundsätzlich entnehme ich deiner Aussage, dass mein oben angedachtes Spiel grundsätzlich (!) machbar wäre. Auch wenn es natürlich einige Probleme/nerviges Gefummel mit sich bringt.
Jein. Es könnte möglich sein, allerdings bin ich mir unschlüssig ob man die VPN Gateways in den Filterregeln direkt adressieren kann. Ich vermute ja, weiß es aber nicht, da ich so einen Fall noch nicht hatte.
Genau dies möchte ich ja nicht. Außerdem bietet mein Anbieter solch ein Tool nicht an ;)
Worin unterscheidet sich aber bspw. eine Softwarelösung (mal vom Aufwand der Pflege) gegenüber dem zentralen Gedanken? Die Rechner können ohne VPN gar nicht ins Netz (wg Leaks)? Kein Problem -> Einfach via Regel nur Einwahlverbindung von den Clients erlauben zum VPN. Sehr einfach abzubilden und ohne VPN geht dann auch nichts raus. Mit ner Software kann man das aber m.E. nach besser abdecken. Bspw. OpenVPN GUI raufwerfen, 4 Tunnel einrichten (machst du einmal, dann verteilst du die ovpn configs einfach auf alle Rechner oder lädst sie auf ein NAS o.ä. damit alle ran kommen). Und dann hat jeder am Rechner:
- ohne VPN gar kein Internet
- VPN GUI wo er sein Ziel auswählt
Und wenn mans wechseln muss geht das simpel über nen rechtsklick und disconnect/connect. Keine IP umstellen, keine Mac verbiegen, kein DHCP o.ä.
Primär geht es mir auch erst einmal nur um Anonymität - im Bezug auf VPN. Nur aus Interesse/Lerngedanken: Wie würde ich es den anders aufziehen wenn ich ein echtes Sicherheitsbedürfnis hätte?
Interessiert mich nun :)DAS würde durchaus lange dauern zu diskutieren, nur soviel: Hier unterscheidet sich dann das Bedürfnis zwischen Datenschutz und Security. Was du möchtest ist Datenschutz bzw. Schutz deiner Privatsphäre. Kein obskurer Wunsch. Aber sehr zu unterscheiden von Security oder OPSEC. Einfach zu verstehen: Bei Datenschutz willst du keinen Telefonbucheintrag, weil du nicht von wildfremden Leuten oder Dialern angerufen werden willst. Ruft trotzdem einer unbekannt an, kannst du es ignorieren, gehst nicht mehr ran wenn keine Nummer im Display steht, holst dir nen neuen Anschluß/Nummer/SIM oder stellst Telefon komplett ab und nimmst nur noch VoIP/Skype und andere neue Medien sowie Blocklisten und Whitelisten.
Stellt ein Telco deine Nummer dann versehentlich doch in ne Rückwärtssuche oder Telefonbuch ist das ärgerlich.
Bei OPSEC willst du keine Nummer haben, weil dein Leben davon abhängen könnte, musst aber ggf. erreichbar sein für einen fix definierten Personenkreis. Erscheint diese Nummer dann im Telefonbuch, heißt das Panik, Notanrufe und Evakuierung im dümmsten Fall. Beispiel hier Zeugenschutz oder andere Schutzprogramme (wie das ausgehen kann, siehe: http://www.heise.de/tp/artikel/13/13211/1.html)Deshalb würdest du bei OPSEC schon ganz anders an deine Sicherheitsbedürfnisse herangehen. Da holst du dir kein "public Internet", sondern würdest alleine der Sicherheit schon über Scheinfirmen, -identitäten oder Strohmänner deinen Anschluß besorgen und diesen ungeschützt nie nutzen. Dazu dann höchstens ein zwei Rechner, mit denen das Nötigste gemacht wird, aber dein tatsächlich persönlicher Rechner an dem du arbeitest wäre ein Rechner, der evtl. sogar Tempest Shielded ist (https://en.wikipedia.org/wiki/Tempest_%28codename%29). Wenn es dann um Sicherheit geht, ist Komfort hintenan, da überlegst du ob du überhaupt Internet brauchst und wie du das so hinbekommst, dass keiner rausfindet wer, was, wo und warum du überhaupt bist.
Zitat zu Security/OPSEC von Kristian Köhntopp: Security hat dann meist ein besonderes Problem. Nämlich die Tatsache, daß Leute, die glauben, daß sie Security brauchen, irgendwann feststellen, daß Security nervt in der Umsetzung, also im täglichen Leben. Die Dinge, die man tun muß, um am Leben zu bleiben (weil man real bedroht ist), sind aufwendig, unbequem, lassen keine Spontanität zu oder trennen einen von Leuten, die man gerne hat oder mit denen man gerne Kontakt halten möchte. Diesen Aufwand, den man treiben muß, damit die Security trotzdem aufrecht erhalten wird, der fällt dann gerne in die Kategorie http://en.wikipedia.org/wiki/OPSEC
Den ganzen Post auf G+ (bezieht sich ursprünglich auf Secure E-Mail ist aber sehr interessant zu lesen):
https://plus.google.com/117024231055768477646/posts/5bEeVo8DZP1Och wieso kein IPv6? Solang ich nur mit der Adresse des Servers am "VPN-Ende" auftrete ist doch alles in Ordnung ;)
Weil IPv6 von den Telcos momentan wieder derart gefickt und vergewaltigt eingesetzt wird (man vergebe mir die Wortwahl, aber es ist so), dass man den Schrott lieber wegwirft und sich - wenn man wirklich was damit machen will - lieber einen v6 Tunnel holt mit dem man arbeiten kann. Damit ist dann aber nicht mehr unbedingt "Privacy" zu erreichen, denn das v6 Subnetz des Tunnels wird dann wieder auf einen registriert.
Warum die Implementation Mist ist: Beispielsweise weil alte PPP(oE) und IPv4 Mechanismen bei v6 eingesetzt werden und das dann als tolle Innovation verkauft wird (weil Datenschutz!!11elf) so wie bspw. die Zwangstrennung und Vergabe eines neuen Prefixes. Nur dann nutzt mir das ganze v6 nichts mehr, wenn sich alle 24h alle meine Geräte in ihrer IP ändern. Am besten, wenn ich gerade gemütlich am Fernsehen bin, mir einen Stream anschaue und sich dann die IPv6 der Box ändert, weil die Telekom gerade das Prefix getauscht hat. Oder ich den Stream von einem SAN/NAS schaue und das plötzlich ne andere IPv6 hat. Und statisch konfigurieren ist nicht, denn das Prefix ändert sich ja ständig. Das ist komplett am Sinn vorbei.@flo: Ich finde subjektiv auch, dass die FBs (gerade die neueren) viel zu überlastet sind mit VPN. Zudem gibt es manchmal Probleme in Verbindung mit VoIP (gab einige Firmwares, bei denen VoIP bei aufgebautem VPN nicht mehr lief da falsche Route intern). Das würde ich auch wie du eher nicht empfehlen, VPN auf dem Fritzen zu machen. Geht eh nicht, sonst kann er die Routen nicht wählen :)
@jahonix: Das Gesagte zum Thema Netgear unterschreibe ich sofort :)
-
Wenn Du HW einkaufen gehst, solltest Du auf folgendes achten: Switches sollten IGMP-fähig sein. Eine VLAN-Fähigkeit schadet auch nicht.
Wenn es besser sein soll, dann schau Dir die […]
Netgear würde ich persönlich komplett vergessen, speziell dann, wenn Du Dich um andere Dinge als Problemlösungen vom Netgedöns kümmern willst.Ich habe mir diese Empfehlungen auch mal abgespeichert. Sieht vielversprechend aus.
Wenn es sehr günstig sein soll, dann würde ich trotz der deutlich ablehnenden Expertenmeinung bzgl. Netgear mal ganz vorsichtig den GS108E (http://www.amazon.de/NETGEAR-ProSafe-Plus-Unmanaged-Switch/dp/B00MYYTP3S) von Netgear ins Spiel bringen. Ich habe das Vorgängermodell und das kommt mit VLANs und IGMP gut klar. Allerdings ist die Administration nervig (evtl. inzwischen browsergestützt, beim Vorgänger jedenfalls nur mit einer speziellen Windows-Software) und er hat aufgrund Sicherheitslücken in einem professionellen Umfeld nichts verloren.
-flo-
-
Powerline kann mit Multicast-Traffic des Entertain wohl zickig sein. Hier habe ich aber selbst keine Erfahrung, nur etwas Respekt aufgrund etlicher Foreneinträge, über die ich mal gestolpert bin. Kommt auf einen Versuch an. Evtl. hast Du das aber ja schon mit Entertain über eine Powerline-Srtrecke am Laufen?
Telefonie: Mit einer Uralt FB kannst Du VoIP machen. Ich selbst habe dazu eine FB Fon 5050 von ebay geholt, hat ca 5 Euro gekostet. Da hast Du mehrere Anschlüsse für "alte" Telefone, das Teil macht in meine Netz nichts anderes. Bei Neuanschaffung ist dann ein IP-Telefon sinnvoll, da kannst Du auch von deutlich besserer Sprachqualität profitieren.
Ich nutze seit einigen Monaten Entertain in Verbindung mit den Telekom-eigenen Powerline-Adaptern. Funktioniert bislang vollkommen problemlos.
Ich würde erst einmal eine alte FB einem neuen IP-Telefon vorziehen denke ich, alleine aus Kostengründen.
Wenn Du preisbewusst kaufst…
Wenn es so weit kommt, dass ich das Ganze hier wirklich so umsetze, welche ich wohl bei TP landen. Über 100 Euro für einen Switch ist mir dann im privaten Bereich doch etwas happig.
Worin unterscheidet sich aber bspw. eine Softwarelösung (mal vom Aufwand der Pflege) gegenüber dem zentralen Gedanken? Die Rechner können ohne VPN gar nicht ins Netz (wg Leaks)? Kein Problem -> Einfach via Regel nur Einwahlverbindung von den Clients erlauben zum VPN. Sehr einfach abzubilden und ohne VPN geht dann auch nichts raus. Mit ner Software kann man das aber m.E. nach besser abdecken. Bspw. OpenVPN GUI raufwerfen, 4 Tunnel einrichten (machst du einmal, dann verteilst du die ovpn configs einfach auf alle Rechner oder lädst sie auf ein NAS o.ä. damit alle ran kommen). Und dann hat jeder am Rechner:
- ohne VPN gar kein Internet
- VPN GUI wo er sein Ziel auswählt
Und wenn mans wechseln muss geht das simpel über nen rechtsklick und disconnect/connect. Keine IP umstellen, keine Mac verbiegen, kein DHCP o.ä.
Okay, werde mich auf kurz oder lang dann wohl von meiner ursprünglichen Idee verabschieden müssen. Sah in meiner Welt alles so super aus ;) Damit wackelt für mich das pfsense-Projekt aber irgendwie auch etwas.
Ich habe hier zwar ein Kack-Router mit nicht deaktivier- und konfigurierbarer Firewall, welcher hin und wieder Probleme macht aber auf der anderen Seite müsste ich für ein "pfsense"-Setup einiges an Geld in die Hand nehmen. Router, pfsense-Hardware, Switch - mal von der ganzen Zeit abgesehen.
Inzwischen macht sich bei mir etwas die Ernüchterung breit, dass wenn ich die VPN-Clients am Ende dann doch auf Desktop-PCs abbilde, ich keine so wirkliche Verwendung für die pfsense habe. Einzig, dass ich darüber eine zentrale Möglichkeit hätte gewisse Dinge bewusst zu blocken/kontrollieren.
Primär geht es mir auch erst einmal nur um Anonymität - im Bezug auf VPN. Nur aus Interesse/Lerngedanken: Wie würde ich es den anders aufziehen wenn ich ein echtes Sicherheitsbedürfnis hätte?
Interessiert mich nun :)DAS würde durchaus lange dauern zu diskutieren, nur soviel: Hier unterscheidet sich dann das Bedürfnis zwischen Datenschutz und Security. Was du möchtest ist Datenschutz bzw. Schutz deiner Privatsphäre. Kein obskurer Wunsch. Aber sehr zu unterscheiden von Security oder OPSEC. Einfach zu verstehen: Bei Datenschutz willst du keinen Telefonbucheintrag, weil du nicht von wildfremden Leuten oder Dialern angerufen werden willst. Ruft trotzdem einer unbekannt an, kannst du es ignorieren, gehst nicht mehr ran wenn keine Nummer im Display steht, holst dir nen neuen Anschluß/Nummer/SIM oder stellst Telefon komplett ab und nimmst nur noch VoIP/Skype und andere neue Medien sowie Blocklisten und Whitelisten.
Stellt ein Telco deine Nummer dann versehentlich doch in ne Rückwärtssuche oder Telefonbuch ist das ärgerlich.
Bei OPSEC willst du keine Nummer haben, weil dein Leben davon abhängen könnte, musst aber ggf. erreichbar sein für einen fix definierten Personenkreis. Erscheint diese Nummer dann im Telefonbuch, heißt das Panik, Notanrufe und Evakuierung im dümmsten Fall. Beispiel hier Zeugenschutz oder andere Schutzprogramme (wie das ausgehen kann, siehe: http://www.heise.de/tp/artikel/13/13211/1.html)Deshalb würdest du bei OPSEC schon ganz anders an deine Sicherheitsbedürfnisse herangehen. Da holst du dir kein "public Internet", sondern würdest alleine der Sicherheit schon über Scheinfirmen, -identitäten oder Strohmänner deinen Anschluß besorgen und diesen ungeschützt nie nutzen. Dazu dann höchstens ein zwei Rechner, mit denen das Nötigste gemacht wird, aber dein tatsächlich persönlicher Rechner an dem du arbeitest wäre ein Rechner, der evtl. sogar Tempest Shielded ist (https://en.wikipedia.org/wiki/Tempest_%28codename%29). Wenn es dann um Sicherheit geht, ist Komfort hintenan, da überlegst du ob du überhaupt Internet brauchst und wie du das so hinbekommst, dass keiner rausfindet wer, was, wo und warum du überhaupt bist.
Zitat zu Security/OPSEC von Kristian Köhntopp: Security hat dann meist ein besonderes Problem. Nämlich die Tatsache, daß Leute, die glauben, daß sie Security brauchen, irgendwann feststellen, daß Security nervt in der Umsetzung, also im täglichen Leben. Die Dinge, die man tun muß, um am Leben zu bleiben (weil man real bedroht ist), sind aufwendig, unbequem, lassen keine Spontanität zu oder trennen einen von Leuten, die man gerne hat oder mit denen man gerne Kontakt halten möchte. Diesen Aufwand, den man treiben muß, damit die Security trotzdem aufrecht erhalten wird, der fällt dann gerne in die Kategorie http://en.wikipedia.org/wiki/OPSEC
Den ganzen Post auf G+ (bezieht sich ursprünglich auf Secure E-Mail ist aber sehr interessant zu lesen):
https://plus.google.com/117024231055768477646/posts/5bEeVo8DZP1Danke für die Infos… im Nachhinein eigentlich logisch. Dann müssten wirklich ganz andere Kaliber ausgefahren werden.
-
Wenn es sehr günstig sein soll, dann würde ich trotz …
Es waren auch die GS108T, von denen ich 3 Stück in den Händen hatte.
Einer war DOA, der zweite hat ein (fast zwangsweise benötigtes) Firmware-Update nicht überlebt und der dritte ist nach wenigen Tagen verraucht.
Das waren leider nicht die einzigen Geräte von Netgedöns, die unter meinen Fingern den Dienst quittiert haben.
Für weitere Experimente damit ist mir meine Zeit echt zu schade. -
Inzwischen macht sich bei mir etwas die Ernüchterung breit, dass wenn ich die VPN-Clients am Ende dann doch auf Desktop-PCs abbilde, ich keine so wirkliche Verwendung für die pfsense habe.
Einzig, dass ich darüber eine zentrale Möglichkeit hätte gewisse Dinge bewusst zu blocken/kontrollieren.Wenn du auf dem Stadium bist, ist es vielleicht gar nicht schlecht. Es ist richtig, dass du für das ein oder andere Szenario Geld in die Hand nehmen musst, aber das ist eben leider so, wenn man was gut machen will. Und wenn du andererseits schon schreibst, dass du einen "schlechten Router hast den du nicht kontrollieren kannst", dann wäre mir, wenn ich schon sicherheitsbewusst mit VPN Tunneln etc. arbeite, es schon wichtig, den zu ersetzen oder um den drumherum zu arbeiten. Ich mag mir in mein Netz eben nicht reinschauen lassen von meinem ISP, ganz egal warum. Mein interner Traffic soll auch intern bleiben. :)
Grüße
-
Wenn du auf dem Stadium bist, ist es vielleicht gar nicht schlecht. Es ist richtig, dass du für das ein oder andere Szenario Geld in die Hand nehmen musst, aber das ist eben leider so, wenn man was gut machen will. Und wenn du andererseits schon schreibst, dass du einen "schlechten Router hast den du nicht kontrollieren kannst", dann wäre mir, wenn ich schon sicherheitsbewusst mit VPN Tunneln etc. arbeite, es schon wichtig, den zu ersetzen oder um den drumherum zu arbeiten. Ich mag mir in mein Netz eben nicht reinschauen lassen von meinem ISP, ganz egal warum. Mein interner Traffic soll auch intern bleiben. :)
Das der Spaß auch was kostet ist mir klar. Heißt nicht umsonst: "Wer billig kauft, kauft zweimal". Jedoch ist es dann irgendwo dennoch eine Kosten-Nutzen-Rechnung, welche bei mir halt eher fragwürdig aussieht.
Entweder ich wähle die Hintereinanderschaltung "FB (direkt mit Telefon und Entertain dran) -> pfsense -> Switch -> Rest" oder "Modem -> pfsense -> Switch -> Rest". Beides kostet unterm Strich mindestens 250 Euro, eigentlich sogar 300 Euro nach erstem überschlagen.
Und die notwendige Zeit mal gar nicht mitgerechnet. Es würde mich schon unter den Fingern jucken aber ich muss am Ende halt auch das Gefühl haben: Es muss sich gelohnt haben.
-
Ich hab aufgrund ähnlicher Gedanken mich damals hier angemeldet (weil ipFire anscheinend nur OPENVPN Server aber keine Clients hat)
Ich weiss jetzt nicht ob ich es falsch Verstanden hab oder andere es evtl. falsch Verstanden haben…
Ich lese das hier
192.168.100.10-19 -> Server in der Schweiz
192.168.100.20-29 -> Server in den Niederlanden
192.168.100.30-39 -> Server in den USAso:
Alle internen Geräte mit den letzten Oktett zwischen 10 und 19 (also der PC der Frau, das Notebook vom Nachwuchs etc..) werden über eine VPN Verbindung auf einen Server in der Schweiz geroutet, und gehen von da aus ins Internet eben auch auf z.B. die Youtubevideos die die GEMA in Deutschland gesperrt hat (z.B. russische Dashcam Crashvideos die ab und zu den Ton vom russischen Radio drauf haben)
Alle internen Geräte mit dem letzten Oktett zwischen 20 und 29 (also das NAS im Keller und bla bla…) werden über eine VPN Verbindung auf einen Server ...
Alle internen Geräte zwischen 30 und 39 (also der Fire-TV Box, der Roku für Hulu und Netflix) gehen über eine VPN Verbindung in die USA um den Kram zu glotzen den man trotz 8 Milliarden TV Gebühren in Deutschland nicht sehen kann.
so verstehe ich das, und deswegen hab ich pfSense gefunden weil ich nach "selektiven Routen" gesucht habe.
Dazu aber gleich an den TE, das ist (vor allem die Verschlüsselung für die Router/Firewall Hardware nicht ohne, das geht mit pfSense aber evtl. nicht mit der APU weil der Chip kein AES drauf hat.
http://www.retropixels.org/blog/use-pfsense-to-selectively-route-through-a-vpn
Gruss Auric
-
so verstehe ich das, und deswegen hab ich pfSense gefunden weil ich nach "selektiven Routen" gesucht habe.
Dazu aber gleich an den TE, das ist (vor allem die Verschlüsselung für die Router/Firewall Hardware nicht ohne, das geht mit pfSense aber evtl. nicht mit der APU weil der Chip kein AES drauf hat.
So war es gemeint, vielen Dank :)
Das mit dem fehlenden AES-Befehlssatz habe ich inzwischen auch schon gefunden. Daran habe ich leider noch gar nicht gedacht und stellt mich generell eh vor ein Problem, wie ich derzeit finde. Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Der AMD A4-5000 oder AMD E1-2100 hat AES, jedoch finde ich bislang kein Board mit Dual Gigabit LAN, wobei wir hier auch nicht mehr im Bereich eines SBCs sind. Beim Intel J1900 gibt es ein Board mit Dual Gigabit LAN jedoch hat der J1900, wenn ich es richtig sehe ebenfalls keinen AES Befehlssatz.
-
@please:
Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Der AMD A4-5000 oder AMD E1-2100 hat AES, jedoch finde ich bislang kein Board mit Dual Gigabit LAN, wobei wir hier auch nicht mehr im Bereich eines SBCs sind. Beim Intel J1900 gibt es ein Board mit Dual Gigabit LAN jedoch hat der J1900, wenn ich es richtig sehe ebenfalls keinen AES Befehlssatz.
Das Fitlet -i und -X http://www.golem.de/news/compulab-fitlet-und-mintbox-mini-passive-mini-pcs-mit-amds-mullins-chip-1501-111716.html haben wohl was wir wollen, wenn es nur um die Anzahl der NICs ginge wäre ein Gigabit-Ethernet Port den man als Router on a Stick über einen VLAN fähigen Switch anschliessen könnte ausreichend (das mit dem Router on a Stick schreib ich hier ganz leise, weil das natürlich bei Heavy-Traffic im Gigabit Bereich ein Flaschenhals wäre)
Gruss Auric
-
Danke für den Hinweis!
Ein Quad-Core mit AES sollte ausreichend Power haben. Lockt ziemlich das Gerät.
Was ist aus deinem "ähnlicher Gedanken" geworden weswegen du dich hier angemeldet hast? Problemlos geklappt?
Edith sagt: Wobei die Preise letztendlich auch nicht ohne sind :( http://www.fit-pc.com/web/purchasing/order-fitlet/
-
Und die notwendige Zeit mal gar nicht mitgerechnet. Es würde mich schon unter den Fingern jucken aber ich muss am Ende halt auch das Gefühl haben: Es muss sich gelohnt haben.
Ich hab das gemacht und habe das Gefühl, dass es sich gelohnt hat, denn jetzt habe ich Remote Management Möglichkeiten, denen ich vertrauen kann (SSH, OpenVPN sowie IPv6 und mehr).
Das mit dem fehlenden AES-Befehlssatz habe ich inzwischen auch schon gefunden. Daran habe ich leider noch gar nicht gedacht und stellt mich generell eh vor ein Problem, wie ich derzeit finde. Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Ich weiß nicht was ihr sucht oder wo ihr das Problem habt. Die APU kann sicher kein Gigabit VPN machen. Das muss sie aber auch gar nicht, denn du hast vorne raus nur 50MBit DSL. Und das sollte sie spielend schaffen. Wenn das zu wenig ist, kann man auch in die Ecke Rangeley Atom gehen, da gibt es die kleineren Kisten mit 4-5 NICs auch schon für 200-300€.
Verstehe gerade nicht genau was du da suchst :) aber wenn dus genauer beschreibst, kann ich dir ggf. was empfehlen.
Grüße
-
@please:
Was ist aus deinem "ähnlicher Gedanken" geworden weswegen du dich hier angemeldet hast? Problemlos geklappt?
Edith sagt: Wobei die Preise letztendlich auch nicht ohne sind :( http://www.fit-pc.com/web/purchasing/order-fitlet/
Ich hab das mal angegangen, mir eine APU besorgt, einige Wochen mit ihr gekämpft, ipFire rauf und wieder runter (siehe oben) an pfSense 2.15 verzweifelt und 2.2 RC problemlos zum laufen gebracht, und auf 2.2 Final upgedated.
Die APU ist jetzt hier in der Firma, weil wir da ganz schnell eine ordentliche VPN Verbindung gebraucht haben und macht hier ihre Sache mit 3 VLANs bisher absolut problemlos.
Jetzt muss ich mir für daheim halt wieder eine neue Hardware suchen…
Ja die Preise sind natürlich prohibitiv, mein Wissensstand waren die 130 $ laut Golem, + Aufpreis für die bessere Hardware. Das der Aufpreis 90% beträgt wusste ich nicht, hätte ich es gewusst hätte ich das Ding nicht verlinkt.
@Jens: Die Frage nach AES-NI kam auf weil das selektive Routing theoretisch auch mit einem ASUS Router möglich ist, der ist aber oft selbst für langsamere Verbindungen schlicht zu schwach, kommt evtl. daher das gewisse VPN Anbieter solche Verschlüsselungen Version:
OpenVPN-2.3.6
TLS+Cipher: TLSv1.2 + AES-256-CBC
HMAC-Auth: SHA-512
RSA-Keys: 4096 bitanbieten und dazu ist eine AES Hardware evtl. von Nöten (was ich nicht beurteilen kann, ich hab nur so einiges gelesen....) :-[
-
OpenVPN-2.3.6
TLS+Cipher: TLSv1.2 + AES-256-CBC
HMAC-Auth: SHA-512
RSA-Keys: 4096 bitWürde auf genau meinen Anbieter zutreffen.
Nicht sicher, ob du das nicht sogar von deren Seite hast ;)
-
Ich hab mich ein wenig in die Zotac Zbox PA330 http://techreleasedate.com/zotac-zbox-ci321-nano-en860-pa330-review/verguggt, leider hab ich für die noch keinen Preis oder Lieferdatum gefunden.
-
@Auric: Dat Dingens hat aber nur eine Gigabit Schnittstelle soweit ich sehe? Fiele damit bei mir komplett durch :) Zumal der SOC ja auch ein APU ist (obwohl ein anderer) und beim WLAN nicht klar ist welches Modul, wüsste ich nicht ob das überhaupt sauber mit pfSense läuft.
-
Die Eckwerte kenne ich ;)
Mir gefällt die APU die im Gegensatz zu PC-Engines APU auch AES kann, die Gigabit Ethernet Schnittstelle der Formfaktor und hoffentlich der Preis
Der einzelne Netzwerkport stört erst einmal nicht, als Router on a Stick am VLAN fähigem Switch im Keller brauche ich nicht mehr.
Gruss Auric
-
OT: Okay wenn du das mit VLAN machst und damit auf Gigabit verzichten kannst, ist das natürlich was anderes. Mir persönlich wäre es zu beschränkt :) Da würde ich eher zu einem Rangeley Atom 2-Kerner tendieren, der liegt nicht ganz so teuer wie der 8-Kerner und hat trotzdem ordentlich Schub. ;)
-
OT: Okay wenn du das mit VLAN machst und damit auf Gigabit verzichten kannst, ist das natürlich was anderes. Mir persönlich wäre es zu beschränkt :) Da würde ich eher zu einem Rangeley Atom 2-Kerner tendieren, der liegt nicht ganz so teuer wie der 8-Kerner und hat trotzdem ordentlich Schub. ;)
OT: so eine GE Schnittstelle macht das ja im Duplex, da kann man ganz ordentliche Datenmengen gleichzeitig rein und raus schaufeln sofern die innen Verarbeitet werden können, es müssen ja "nur" die Datenmengen eines VDSL Anschlusses durch, ich will damit keine Bürogebäude miteinander koppeln.
On Topic: hast du ein Link zu so einem Rangeley 2 Kerner? ist natürlich interessant.
Gruss Auric